II - L´attività svolta dal Garante - par.3-6 - Relazione 2005 - 7 luglio 2006

3. Sanità

3.1. Trattamento di dati idonei a rivelare lo stato di salute

3.1.1. Trattamenti per fini amministrativi

Nel 2005 l´Autorità è intervenuta più volte in merito al trattamento dei dati sensibili, e in particolare di quelli idonei a rivelare lo stato di salute, effettuato da strutture sanitarie pubbliche per finalità di cura dei pazienti e per finalità amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione degli stessi. Si è tra l´altro evidenziato che anche quando si perseguono finalità amministrative per le quali non è necessario acquisire il consenso, è comunque ineludibile l´obbligo di informare gli interessati e di rispettare altresì le disposizioni contenute nei regolamenti sul trattamento dei dati sensibili e giudiziari (Note 13 gennaio e 23 febbraio 2005).

Nel 2005, il Garante ha ribadito tali delicati rilievi anche nei confronti del Ministro dell´economia e delle finanze, rinnovando l´invito a conformare al Codice il quadro normativo di attuazione della tessera sanitaria (Nota 24 gennaio 2005).

Anche in funzione dei diversi interventi del Garante, il Ministro dell´economia e delle finanze ha sottoposto al parere dell´Autorità il decreto ministeriale adottato in attuazione di quanto previsto dall´art. 50, comma 10, d.l. n. 269/2003, riguardante l´approvazione del protocollo sui dati rilevati dalle ricette mediche e registrati negli archivi del Ministero, che possono essere trasmessi al Ministero della salute e alle regioni. Le garanzie poste a tutela dei dati personali individuate da ultimo nel suddetto decreto sono state infine ritenute sufficienti dall´Autorità, la quale ha espresso pertanto avviso favorevole (Parere 21 luglio 2005 [doc. web n. 1151167]). In particolare, il predetto decreto ministeriale ha previsto che i dati ricavati dalle ricette mediche e da altre prescrizioni specialistiche siano trattati dal Ministero dell´economia e delle finanze esclusivamente per fini di liquidazione dei rimborsi dovuti alle struttura sanitarie, e che gli stessi dati siano trasmessi al Ministero della salute, all´Agenzia italiana del farmaco e alle regioni, dopo essere stati privati di ogni riferimento ad informazioni che rendano identificabili gli interessati, quali il codice fiscale o il codice a barre della tessera sanitaria (d.m. 9 marzo 2006).

Nella fattispecie esaminata dall´Autorità, l´azienda sanitaria, a fronte della richiesta della polizia stradale di ottenere copia del certificato relativo ad un esame alcolimetrico effettuato nei confronti di un paziente coinvolto in un incidente stradale, aveva invece rilasciato copia integrale del referto di ricovero, come tale comprensivo che del dato sull´alcolemia–anche dei risultati degli altri esami clinici compiuti (Nota 15 novembre 2005).

3.1.2. Trattamenti per fini di cura della salute

L´incontro è stato incentrato sull´analisi di significative esperienze presso organismi sanitari pubblici e privati, delle soluzioni emerse e di alcuni risultati positivi, ispirati ai principi di semplificazione, armonizzazione ed efficacia. Si è avuto così modo di analizzare alcune specifiche modalità di applicazione delle misure di protezione adottate per garantire il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati nell´organizzazione di prestazioni e servizi.

A seguito di segnalazione, si è poi rilevata una violazione delle regole sulle modalità di corretta consegna delle certificazioni mediche. Ciò, rispetto al comportamento tenuto da un laboratorio di analisi privato che aveva trasmesso via fax al datore di lavoro dell´interessato copia di un referto relativo ad una radiografia effettuata a seguito di un incidente occorso sul luogo di lavoro. In tale occasione, l´Autorità ha evidenziato che gli esercenti le professioni sanitarie possono rendere noti i dati personali inerenti lo stato di salute al solo interessato, per il tramite di un medico designato dallo stesso interessato, oppure dal titolare (Nota 1° agosto 2005).

3.1.3. Strutture sanitarie e tutela della dignità delle persone

All´atto della prescrizione di ricette mediche o del rilascio di certificati, il personale sanitario deve evitare che le informazioni sulla salute possano essere conosciute da soggetti non autorizzati, a causa di situazioni di promiscuità derivanti dai locali o dalle modalità utilizzate. Ospedali e aziende sanitarie devono predisporre "distanze di cortesia" non solo per le operazioni amministrative allo sportello (prenotazioni), ma anche per la raccolta dell´anamnesi, sensibilizzando gli utenti con cartelli, segnali ed inviti. Peraltro, il rispetto di tali misure non ostacola la possibilità di utilizzare determinate aree per più prestazioni contemporanee, quando tale modalità di organizzazione risponde all´esigenza terapeutica di diminuire l´impatto psicologico dell´intervento medico (ad es., nell´ipotesi di trattamenti sanitari effettuati nei confronti di minori).

Ulteriori indicazioni sono state fornite in merito all´adozione di un "ordine di precedenza e chiamata" nell´erogazione delle prestazioni sanitarie, che prescinda preferibilmente dall´individuazione nominativa (ad es., attribuendo un codice numerico o alfanumerico al momento della prenotazione o dell´accettazione). Quando la prestazione medica può essere pregiudicata in termini di tempestività o efficacia dalla chiamata non nominativa dell´interessato (ad es., in funzione di particolari caratteristiche del paziente anche legate ad uno stato di disabilità), possono essere peraltro utilizzati altri equivalenti accorgimenti come, ad esempio, il contatto diretto con il paziente.

Anche con riferimento alla notizia della presenza dei degenti nei reparti, è stata segnalata l´esigenza che le strutture sanitarie mettano tali informazioni a disposizione dei soli terzi legittimati (anche in riferimento a conoscenti e a personale di volontariato). In questo caso, l´interessato cosciente e capace deve essere informato al momento del ricovero, in modo da poter decidere quali soggetti possono venire a conoscenza della sua presenza nella struttura sanitaria o in un reparto di degenza.

Non è stata giudicata quindi corretta l´affissione di liste di pazienti nei locali destinati all´attesa o comunque aperti al pubblico, con o senza la descrizione del tipo di patologia sofferta o di intervento effettuato o ancora da effettuare, come avvenuto ad esempio per degenti che debbano subire un intervento operatorio (Provv. 17 marzo 2005 [doc. web n. 1170485]). Parimenti, non debbono essere resi visibili ad estranei documenti sulle condizioni cliniche dell´interessato, come nel caso di cartelle infermieristiche poste vicino al letto di degenza.

Analoghe garanzie devono essere adottate da tutti i titolari del trattamento, ivi comprese le farmacie, affinché nella spedizione di prodotti non siano indicati, sulla parte esterna del plico postale, informazioni idonee a rivelare l´esistenza di uno stato di salute dell´interessato (ad es., indicazione della tipologia del contenuto del plico o del reparto dell´organismo sanitario mittente). Sulle modalità di applicazione di tali regole al settore sanitario, il Garante ha avviato una consultazione con organismi sanitari e associazioni interessate.

3.1.4. Protezione dei dati e procreazione medicalmente assistita

Il Garante ha espresso parere favorevole sullo schema di decreto istitutivo, per legge, del registro nazionale dei centri autorizzati ad applicare le tecniche di procreazione assistita (Parere 26 luglio 2005 [doc. web n. 1151435]). 

Il registro, previsto da un decreto del Ministro della salute in applicazione del disposto di cui all´art. 11 della legge 19 febbraio 2004, n. 40, conterrà i dati relativi alle strutture sanitarie autorizzate ad applicare le predette tecniche, necessari al loro censimento, e le informazioni concernenti le autorizzazioni di legge. L´Autorità ha richiesto che nell´allegato tecnico fosse apportata una specificazione in modo da ribadire che le unità di personale operante presso le predette strutture ("personale medico", "personale laboratorio di biologia", "medico anestesista", "infermieristico", "amministrativo") fossero registrate anch´esse con dati numerici, anziché con le generalità di ogni singolo dipendente. Sebbene il registro non contenga le generalità delle coppie interessate, sarà possibile disporre di dati statistici utili alla comprensione del fenomeno, potendosi raccogliere, comunicare o diffondere informazioni, anonime ed anche aggregate, relative alle coppie stesse, agli embrioni ed ai nati (d.m. 7 ottobre 2005, in G.U. 3 dicembre 2005, n. 282).

Il Garante si è riservato di valutare le modalità di raccolta e di conservazione dei dati nel registro, l´individuazione dei soggetti autorizzati a consultare i dati registrati e le relative modalità di accesso; ciò, in quanto il decreto prevede un ulteriore atto ministeriale di attuazione.

4. Dati genetici

4.1. Le informazioni genetiche

Un primo schema di autorizzazione, predisposto previo approfondimento svolto anche mediante l´acquisizione di pareri da parte di medici genetisti, è stato inoltrato il 25 gennaio 2005 al Ministero della salute per acquisire il parere predetto, riservandosi il Garante la possibilità di apportare allo stesso eventuali perfezionamenti anche all´esito delle indicazioni e suggerimenti pervenuti.

Nel corso del 2005 il Garante ha ricevuto dal Ministero della salute il parere del Consiglio superiore di sanità sul predetto schema di autorizzazione generale. Alla luce dei suggerimenti del Ministero si è avviata un´ultima fase di approfondimento sulle garanzie previste dall´autorizzazione, coinvolgendo nuovamente qualificati esperti della materia ai quali l´Autorità ha richiesto di formulare ancora proprie osservazioni e valutazioni.

Nella nuova autorizzazione, il Garante intende precisare anche la portata della nozione di "dato genetico", individuando le cautele da osservare in relazione alle informazioni genetiche e ai campioni biologici trattati a fini di tutela della salute dello di un terzo appartenente alla stessa linea genetica, a scopi di ricerca scientifica e statistica, ovvero per finalità probatorie in un procedimento civile o penale.

Si prevede inoltre di introdurre specifiche garanzie e regole di condotta per lo svolgimento di test e screening genetici, di test di paternità e/o maternità, nonché di indagini medico-legali, soprattutto in relazione al contenuto e alle modalità dell´informativa, alla necessità di fornire un´appropriata consulenza genetica e psicologica all´interessato, al diritto di quest´ultimo di non conoscere i risultati dell´esame (ivi comprese eventuali "notizie inattese" che lo riguardano), alle modalità di manifestazione del consenso e al periodo di conservazione dei dati e dei campioni biologici.

Secondo lo schema provvisorio di autorizzazione, le ricerche in materia genetica dovrebbero essere effettuate con le metodologie proprie del pertinente settore disciplinare, sulla base di progetti che indichino le specifiche misure da adottare nel trattamento dei dati per garantire il rispetto dell´autorizzazione, nonché, più in generale, della normativa sulla riservatezza. Gli studi genetici condotti su popolazioni isolate potrebbero essere attuati se preceduti da un´ampia attività di informazione volta ad illustrare alle comunità interessate le caratteristiche fondamentali della ricerca. Resterebbe escluso il trattamento di dati genetici da parte di datori di lavoro ed imprese assicurative.

Nel periodo che precede il rilascio dell´autorizzazione, il trattamento di queste informazioni resta disciplinato in via transitoria dalla precedente autorizzazione generale del Garante, che consente di utilizzare i predetti dati soltanto per le finalità in essa individuate e nel rispetto di specifiche prescrizioni, come ad esempio il divieto di comunicare le informazioni genetiche a terzi (punto 2, lett. b), autorizzazione generale n. 2/2002).

Il Garante ha inoltre chiesto di accertare la possibilità di conseguire nel corso dello studio eventuali notizie inattese e, in tal caso, di porre in adeguata evidenza nell´informativa agli interessati il loro diritto di non conoscere i risultati della ricerca o degli esami genetici effettuati, in riferimento appunto agli eventuali unespected finding che li riguardino (Nota 29 marzo 2005).

Sulla base di alcune notizie di stampa, l´Ufficio ha poi avviato accertamenti in ordine ad un complesso progetto di ricerca genetica su popolazioni isolate in Lombardia (Nota 11 gennaio 2005).

Il documento in questione propone, per un verso, alcune modifiche al codice di procedura penale volte a colmare la lacuna legislativa già determinatasi a seguito della sentenza n. 238/1996 della Corte costituzionale, che aveva dichiarato parzialmente incostituzionale l´art. 224 c.p.p. nella parte in cui non disciplina i casi e i modi nei quali il giudice può disporre coattivamente accertamenti peritali sulla persona dell´imputato (ad es., il prelievo di campioni biologici o altri accertamenti medici).

Per altro verso, il documento individua uno schema di disegno di legge che ipotizza l´istituzione di un archivio centrale dei profili del Dna, volto a consentire l´accertamento dell´identità degli autori degli illeciti penali e di altre persone coinvolte a vario titolo in fatti criminosi, nonché l´identificazione di persone scomparse.

Il Garante ha già approfondito preliminarmente se, e in quale misura, il progetto illustrato nel documento sia compatibile con i principi del Codice, in particolare con lsistematico delineato dall´art. 90 e dalla relativa autorizzazione in corso di predisposizione, riservandosi di formalizzare le proprie determinazioni nel caso in cui il progetto resti attuale nella nuova legislatura.

5. Ricerca statistica e scientifica

5.1. Ricerca statistica

Al tavolo di lavoro è stato invitato a partecipare anche l´Ufficio del Garante ed è stata prevista l´istituzione di un comitato ristretto per individuare in maniera unitaria, per tutte le regioni e le province autonome, l´inquadramento istituzionale e le attribuzioni degli osservatori, con particolare riferimento alle scelte metodologiche delle ricerche, alla comparabilità dei risultati e ai collegamenti con le banche dati presenti a livello nazionale e locale. In tale sede, è stata suggerita la possibilità di strutturare un modello unitario di osservatorio inquadrandolo nell´ambito di applicazione della disciplina normativa concernente la protezione dei dati personali nell´ambito delle attività di statistica e, in particolare, del codice di deontologia e buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell´ambito del Sistema statistico nazionale.

5.2. Ricerca medica, biomedica ed epidemiologica

Al riguardo, l´Autorità ha evidenziato che la moltiplicazione di tali archivi contrasta con quanto previsto dall´art. 94 del Codice, in base al quale le banche dati, i registri e gli schedari in ambito sanitario devono essere configurati riducendo al minimo l´utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l´interessato solo in caso di necessità (art. 3 del Codice).

In considerazione della particolare delicatezza delle informazioni contenute nei suddetti registri e del considerevole numero dei soggetti coinvolti, l´Autorità ha quindi segnalato che l´eventuale istituzione di tali banche dati sanitarie presuppone un delicato contemperamento tra il diritto alla riservatezza degli interessati e la tutela della salute pubblica; si tratta di una valutazione che deve essere affidata a specifiche fonti normative nazionali o regionali ovvero, eventualmente, ai piani sanitari nazionali o regionali (artt. 53, 55 e 58 l. n. 388/1978, artt. 1 e 2 d.lg. n. 502/1992). Il testo dello schema-tipo di regolamento, sottoposto all´esame del Garante e sul quale è stato espresso parere favorevole (Parere 13 aprile 2006 [doc. web n. 1272225]), ha recepito tali indicazioni.

6. Attività di polizia

6.1. Il controllo sul Centro elaborazione dati del Dipartimento di pubblica sicurezza

Nel contesto europeo ed internazionale, trova ampio e condiviso fondamento l´esigenza di predisporre efficaci strumenti di protezione dei dati personali e dei sistemi per finalità di polizia. Vari atti normativi e di altra natura in materia di scambi di dati e di cooperazione di polizia hanno infatti prestato notevole attenzione alla necessità di garantire, sotto vari profili, standard elevati di sicurezza dei dati e dei sistemi rispetto al rischio di indebite operazioni di accesso, lettura, copia o modifica delle informazioni (v., in particolare, la Convenzione n. 108/1981 del Consiglio d´Europa del 28 gennaio 1981 (art. 7) e la Raccomandazione R(87)15 del Consiglio d´Europa del 17 settembre 1987, applicabili al Centro elaborazione dati del Dipartimento della pubblica sicurezza del Ministero dell´interno (C.e.d.); v. anche la dichiarazione del Governo italiano a margine della sottoscrizione della Convenzione di applicazione dell´Accordo di Schengen).

Su queste basi, nel quadro dello svolgimento dei compiti previsti dal Codice in materia, il Garante ha avviato nel 2005 un ciclo di verifiche presso gli archivi del C.e.d. per accertare l´effettiva rispondenza dei trattamenti di dati personali effettuati in detto ambito al rispetto delle garanzie previste dal Codice. Tale attività è stata intrapresa nei modi previsti dalla legge, per il tramite di un componente designato del Garante e con l´assistenza di personale specializzato (art. 160 del Codice), esaminati anche gli elementi forniti dal Dipartimento, che ha prestato fattivamente la collaborazione richiesta.

La complessa attività è stata suddivisa in due cicli, riservati il primo alla sicurezza dei dati e dei sistemi e, l´altro, ai più articolati profili delle modalità di trattamento dei dati e di interconnessione con banche dati pubbliche e private. Nel corso del primo ciclo di accertamenti, concretamente avviati nel mese di luglio 2005, sono stati appunto approfonditi in termini analitici i profili attinenti alla sicurezza nel trattamento dei dati e del sistema informativo nel suo complesso, prendendo in considerazione i riflessi sui diritti fondamentali delle persone interessate e gli importanti interessi pubblici coinvolti.

Dagli accertamenti non sono emersi profili di violazione degli obblighi penalmente sanzionati di adozione delle misure minime di sicurezza (artt. 33 e 169; Allegato B) del Codice).  Il  Garante  ha  però  impartito  al  Ministero  dell´interno-Dipartimento  della  pubblica  sicurezza  (Provv.  17 novembre 2005 [doc.  web n. 1213309]) una prima serie di prescrizioni volte ad assicurare un rafforzamento del livello di protezione delle informazioni registrate nel C.e.d., fissando termini per attuarle e chiedendo un riscontro sui relativi esiti.

Saranno invece oggetto di un secondo provvedimento in fase di adozione nel 2006 gli altri profili concernenti le modalità e la complessiva organizzazione del trattamento dei dati personali presso il C.e.d., in particolare per quanto riguarda la qualità delle informazioni, la loro conservazione nel tempo e le menzionate interconnessioni.

6.1.1. Altri interventi in relazione ad ulteriori attività di forze di polizia

Questa soluzione pone seri problemi di compatibilità con la normativa comunitaria la quale non consente un´utilizzazione generalizzata e sistematica, per finalità di pubblica sicurezza, dei dati raccolti per altri scopi, oltre che con la specifica normativa di protezione dati relativa alle finalità di polizia, che vieta l´uso delle informazioni contenute nel C.e.d. per finalità diverse da quelle indicate dal legislatore nella disciplina di polizia, e stabilisce a tal fine il divieto di circolazione delle informazioni all´interno della pubblica amministrazione (art.9 l.n. 121/1981). IlGarante ha altresì invitato il Ministro dell´interno ad intervenire per specificare il ruolo assunto dai soggetti esterni nel trattamento dei dati, al fine di rispettare la normativa di settore e il principio di finalità posto dal Codice, nonché a fornire indicazioni sui tempi di conservazione degli stessi dati (Provv. 25 maggio 2005 [doc. web n. 1131826], su cui cfr. anche i parr. 2.5 e 2.9).

Nell´esprimere il parere il Garante ha ricordato, in primo luogo, che il testo unico delle leggi di pubblica sicurezza (r.d. n. 773/1931) non prevede la conservazione delle "schedine d´albergo" da parte della struttura ricettiva la quale, una volta acquisita idonea ricevuta che dimostri di aver assolto l´obbligo di trasmissione, deve cancellare i dati del cliente con la sola eccezione delle informazioni necessarie a fini fiscali e contabili (quali, ad es., i dati da inserire nella fattura o nella ricevuta). Il Garante ha affermato che la comunicazione delle informazioni deve avvenire direttamente senza il tramite di altri soggetti mentre, se avviene via Internet, sono necessarie particolari garanzie per assicurare che siano destinatarie effettivamente ed unicamente le questure. Le informazioni devono essere conservate dalle questure separatamente da ogni altra informazione detenuta per finalità di giustizia o di pubblica sicurezza (art. 53, comma 2, del Codice), per un tempo breve, in conformità alle norme applicabili (art. 11, comma 1, lett. e), 53 e 57, comma 1, lett. d) del Codice). Le informazioni possono essere consultate dal solo personale appartenente alle forze di polizia espressamente autorizzato con apposito provvedimento, per esclusive finalità di prevenzione, accertamento e repressione dei reati o di tutela dell´ordine e della sicurezza pubblica.

Infine, l´Autorità ha rilevato che non consta, allo stato, l´esistenza di elementi che possano giustificare l´inserimento dei dati in una banca dati centralizzata, anche nell´ambito del C.e.d. del Dipartimento di pubblica sicurezza.

6.2. Controllo sui trattamenti effettuati dai servizi di informazione e di sicurezza

Nel 2005 il Garante ha proseguito la periodica attività di verifica in relazione a specifici trattamenti di dati personali effettuati presso i servizi di informazione e di sicurezza e gli altri competenti organismi in materia (Sismi, Sisde e Cesis), la cui disciplina è contenuta nell´art. 58 del Codice.

Tali accertamenti, effettuati nel mese di marzo 2005, sono stati svolti dall´Autorità in relazione a specifiche segnalazioni di soggetti interessati ed in conformità alle modalità previste dal Codice (art. 160). In relazione all´esito dei controlli, che si sono svolti come di consueto con la piena collaborazione dei predetti organismi, il Garante ha fornito riscontro agli interessati nei termini previsti dal Codice.

6.3. Il controllo sul Sistema informativo Schengen (Sis)

Dall´esame delle note inoltrate al Garante, per conoscenza, dalla Divisione N-Sis, si rileva che alcune delle indicazioni fornite dall´Autorità ai competenti uffici del Dipartimento della pubblica sicurezza possono ritenersi ormai implementate, per quanto concerne l´accesso diretto, gli altri diritti contemplati dalla Convenzione ed il conseguente riscontro.

In particolare:

a) il riscontro è fornito di solito direttamente all´interessato, non più tramite la rappresentanza diplomatica;

b) si procede a comunicare agli interessati sia il primo inserimento della segnalazione, sia gli eventuali successivi rinnovi, nonché il motivo della segnalazione nel Sis, e cioè il provvedimento che, ai sensi degli artt. 94-100 della Convenzione, risulta presupposto dalla segnalazione medesima;

c) l´interessato è reso edotto delle facoltà riconosciutegli in relazione a sue doglianze (modalità di richiesta di revoca dell´espulsione, prova dell´uscita dal territorio, usurpazione d´identità, ricongiungimento familiare, ecc.).

Residuano alcuni aspetti da approfondire con gli uffici del Dipartimento della pubblica sicurezza e il Centro visti del Ministero degli affari esteri, circa l´ulteriore snellimento necessario per le procedure di riscontro agli interessati e per la verifica della loro effettività in caso di usurpazione d´identità.

Con il rapporto redatto dagli esperti al termine della visita è stata espressa una valutazione positiva che comprende però un invito a controllare i dati inseriti dall´Italia nel Sis ai fini delle segnalazioni di cui all´art. 96 della Convenzione per l´applicazione dell´Accordo di Schengen (che risultano numericamente superiori a quelli inseriti dagli altri Stati aderenti), verificando la necessità del loro mantenimento. Su tale aspetto si è incentrata anche la specifica azione dell´Autorità comune di controllo Schengen (Acc), nell´ambito dell´attività di verifica sulle modalità di inserimento delle segnalazioni di stranieri nel Sis al fine della non ammissione nel territorio degli Stati parti della Convenzione (su cui v. il par. 22.2).